Подготовка к установке СЗИ Блокхост-сеть 2.0 Часть 1


Мероприятия, выполняемые независимо от целей использования СЗИ


Перечень подготовительных мероприятий будет зависеть от того, как вы планируете использовать СЗИ «Блокхост-сеть 2.0». Дело в том, что оно имеет сертификат Федеральной службы по техническому и экспортному контролю (ФСТЭК):



Согласно сертификата №3740 СЗИ «Блокхост-сеть 2.0» аттестовано:

Так вот, если применение сертифицированных СЗИ в вашем случае является обязательным, то недостаточно просто приобрести такое средство. Помимо этого нужно соблюсти требования формуляра об установке и эксплуатации изделия, выполнить настройки безопасности среды функционирования СЗИ.

По мнению регуляторов, то есть в нашем случае ФСТЭК, если эти требования нарушены и (или) не выполняются, такое средство защиты информации не считается сертифицированным.

Если же целью приобретения СЗИ является просто повышение защищенности информации или, например, контроль деятельности сотрудников, то есть какие-то свои внутренние цели, соблюдение требований формуляра не является обязательным.

Вначале рассмотрим перечень мероприятий, которые должны быть выполнены независимо от целей использования СЗИ.

  1. Пункт первый, он же самый главный. Установка «СЗИ Блокхост-сеть 2.0» ведется только под ВСТРОЕННОЙ УЧЕТНОЙ ЗАПИСЬЮ ЛОКАЛЬНОГО АДМИНИСТРАТОРА. Без разницы, серверная это часть или клиентская. Следовательно, эта учетная запись – Администратор (Administrator) должна быть включена, для нее должен быть задан пароль и вы должны знать этот пароль.





  2. После установки СЗИ отключать эту учетную запись не рекомендуется, так как при ошибках входа в Windows под управлением СЗИ Блокхост-сеть нужно же будет хоть как войти на компьютер кроме входа в безопасном режиме.

  3. Проверить отключение параметра безопасности локальной политики ОС Windows: Системная криптография: использовать FIPS совместимые алгоритмы для шифрования, хеширования и подписывания:
  4. Нажимаем на клавиатуре Win + R, пишем в окне - secpol.msc, нажимаем ОК:



    В открывшемся окне выбираем Локальные политики Параметры безопасности:



    Если политика не находится в состоянии Отключен, делаем двойной щелчок на политике и отключаем:



  5. Если на компьютере включен брандмауэр Windows (а он как правило включен), нужно на контролируемой рабочей станции открыть TCP-порт 999 и UDP-порт 5555:
  6. Для этого нажимаем на клавиатуре Win + R, пишем в окне - control, нажимаем ОК:



    Откроется окно панели управления. Выбираем Брандмауэр Windows:



    Если брандмауэр включен, то его состояние будет отображаться как Подключено:



    Выбираем в окне слева Дополнительные параметры, в открывшемся окне тоже слева выбираем Правила для входящих подключений, затем в окне справа выбираем Создать правило… и выбираем тип правила Для порта, жмем Далее:



    Выбираем протокол TCP, указываем в окне номер порта 999 и снова жмем Далее:



    В следующем окне выбираем Разрешить подключение:



    Далее выбираем профиль, для которого применяется правило. В случае домена – доменный профиль:



    Даем имя правилу и жмем Готово:



    Мы создали правило для входящего подключения по порту TCP 999. Аналогично нужно создать правила для исходящего подключения по порту TCP 999 и оба правила для порта UDP 5555. Ну или выключить брандмауэр).

  7. Необязательно. Для корректной работы может потребоваться понизить уровень контроля учетных записей (UAC) в ОС Windows (вплоть до полного отключения):
  8. Нажимаем на клавиатуре Win + R, пишем в окне – control:



    Выберем пункт Изменение параметров контроля учетных записей:



    С помощью бегунка выбираем требуемое значение:



  9. Дополнительно для Windows 8/8.1/10 и Windows Server 2012/2012R2/2016:
  10. Перед началом установки СЗИ необходимо отключить встроенный антивирус ОС (Windows Defender). Для этого нажимаем кнопку Пуск, затем кнопку Параметры (справа в виде шестеренки), затем о открывшемся окне выбираем Обновление и безопасность:



    Выбираем Защита от вирусов и угроз, в разделе Параметры защиты от вирусов и других угроз щелкаем по Управление настройками:



    В разделе Защита в режиме реального времени переведем ползунок в положение Выкл:



  11. Для Windows 10 и Windows Server 2016:
  12. До начала установки СЗИ необходимо отключить протокол Secure Boot, отвечающий за безопасную загрузку ОС, в настройках BIOS. Отключение данного протокола, осуществляется установкой параметра Безопасная загрузка (Secure Boot) в значение Не используется (Disabled).



    Естественно, у каждого производителя материнских плат свое меню BIOS. Тут уж сами как-нибудь…

    В следующей части материала рассмотрим, какие еще действия нужно произвести, чтобы наше СЗИ продолжало носить гордое звание сертифицированного ФСТЭК продукта.



    Ранее:
    Назначение, возможности и условия применения СЗИ Блокхост-сеть 2.0


    Далее:
    Мероприятия, необходимые для использования СЗИ Блокхост-сеть 2.0 в качестве сертифицированного ПО